Google Places Widget и Content-Security-Policy

Question

Я использую виджет автозаполнения Google в моем приложении для https://developers.google.com/maps/documentation/javascript/places-autocomplete. Я также устанавливаю строгий заголовок Content-Security-Policy для повышения безопасности своего приложения.Одна из моих целей - избегать директив unsafe-inline для script-src и style-src.Однако я заметил, что при загрузке виджета автозаполнения он вставляет встроенный CSS в <head> страницы, что нарушает мой CSP, если только я не разрешу unsafe-inline в style-src.

.обойти это с помощью этого виджета?Другие библиотеки, которые я использую, поддерживают одноразовый подход, но я не могу найти ничего подобного в документации Google.

Answer 1

Кажется, эта функция уже была запрошена (возможно, вами) в нашем Public Issuetracker. Мы хотели бы горячо пригласить вас просмотреть проблему в системе отслеживания проблем и отметить ее, чтобы зарегистрировать свой интерес. Это позволит подписаться на получение технических обновлений по этому вопросу. Звездный номер также дает нам ценную информацию о важности проблемы для наших клиентов и повышает приоритет проблемы с командой разработчиков продукта.

Вы можете просмотреть и отметить проблему здесь: - https://issuetracker.google.com/132600807

Эта запись отслеживания проблем является официальным источником публичной информации об этой проблеме, и все общедоступные обновления будут публиковаться там.